Fremsat den 22. februar 2018 af ministeren for offentlig innovation (Sophie Løhde)

Forslag

til

Lov om udstedelse af NemID med offentlig digital signatur til fysiske personer og til medarbejdere i juridiske enheder

§ 1. Ministeren for offentlig innovation udpeger en privat virksomhed, der administrerer og træffer afgørelser om udstedelse af NemID med offentlig digital signatur til fysiske personer og til medarbejdere i juridiske enheder.

Stk. 2. Ministeren for offentlig innovation fastsætter regler om administration af NemID, herunder regler om udstedelse og spærring samt om håndtering af NemID.

§ 2. Ministeren for offentlig innovation kan udpege juridiske enheder til at varetage opgaven med som registreringsenhed at træffe afgørelser om udstedelse af NemID til fysiske personer, der anmoder om at få udstedt NemID med offentlig digital signatur til fysiske personer.

§ 3. Forvaltningsloven finder anvendelse på afgørelser, som træffes af den private virksomhed, der er udpeget i medfør af § 1, stk. 1, og af registreringsenheder, jf. § 2.

§ 4. Fysiske personer, der er fyldt 15 år og har et personnummer, kan anmode om at få udstedt NemID med offentlig digital signatur til fysiske personer efter de regler, der fastsættes i medfør af § 1, stk. 2.

Stk. 2. Juridiske enheder, der har et CVR-nummer, kan anmode om at få udstedt NemID til medarbejdere i juridiske enheder efter de regler, der fastsættes i medfør af § 1, stk. 2.

§ 5. Klage over en afgørelse truffet af den private virksomhed, der er udpeget i medfør af § 1, stk. 1, eller af en registreringsenhed, jf. § 2, efter regler fastsat i medfør af § 1, stk. 2, kan indbringes for Digitaliseringsstyrelsen.

Stk. 2. Digitaliseringsstyrelsen kan af den private virksomhed, der er udpeget i medfør af § 1, stk. 1, og af registreringsenheder, jf. § 2, kræve enhver oplysning, der er af betydning for klagebehandlingen.

Stk. 3. Digitaliseringsstyrelsens afgørelser efter stk. 1 kan ikke påklages til anden administrativ myndighed.

§ 6. Loven træder i kraft den 1. juli 2018.

§ 7. Loven gælder ikke for Grønland og Færøerne, men kan ved kongelig anordning helt eller delvist sættes i kraft for Grønland med de ændringer, som de grønlandske forhold tilsiger.

Bemærkninger til lovforslaget

1. Lovforslagets formål og baggrund

NemID med offentlig digital signatur til fysiske personer samt NemID til medarbejdere i juridiske enheder (NemID) er blevet udbredt til det meste af befolkningen og til stort set alle virksomheder, offentlige myndigheder, frivillige foreninger mv. med et CVR-nummer. NemID har med tiden fået en mere betydelig og central rolle, end det var tilfældet, da der i 2008 blev indgået kontrakt med Nets DanID A/S om administration og udstedelse af NemID. På mange offentlige digitale serviceområder forudsættes det nu, at borgerne, virksomheder, offentlige myndigheder, frivillige foreninger mv. har og anvender NemID. Dette gælder blandt andet, når en borger eller virksomhed skal have adgang til at læse Digital Post fra offentlige afsendere, og når en borger eller virksomhed skal anvende offentlige digitale selvbetjeningsløsninger.

Den øgede digitalisering af den offentlige forvaltning og den centrale rolle, som NemID spiller i den forbindelse, har medført et stigende behov for at sikre klare juridiske rammer for borgernes og virksomhedernes pligter og rettigheder i forhold til NemID. Folketingets Ombudsmand har ligeledes givet udtryk for, at lovgrundlaget for forvaltningen af NemID og for borgernes mulighed for at klage over afslag på at få udstedt NemID, bør være klart med henblik på at sikre borgernes retsstilling.

På baggrund af ovenstående er det vurderingen, at tiden er inde til at sikre en klar lovgivningsmæssig ramme for pligter og rettigheder i forbindelse med administration og udstedelse af NemID. Dette skal styrke retssikkerheden på området og særligt sikre, at borgere og virksomheder har en tydelig adgang til at klage, hvis de ikke kan få udstedt NemID, hvis NemID bliver spærret og lignende tilfælde. Formålet med loven er derfor at tydeliggøre borgernes og virksomhedernes retsstilling, herunder klagemuligheder, samt at fastslå ved lov, at det er en myndighedsopgave og et myndighedsansvar at sikre udstedelse af NemID.

Der etableres lovhjemmel til, at ministeren for offentlig innovation udpeger en privat virksomhed som udsteder af NemID. Ministeren for offentlig innovation delegerer dermed opgaven med at administrere og træffe afgørelse om udstedelse af NemID til en privat virksomhed, der som udsteder kan træffe afgørelse om udstedelse af NemID og om afslag på udstedelse eller genåbning af NemID. Det tydeliggøres med loven, at udstederen af NemID er udpeget af ministeren for offentlig innovation til at varetage opgaven på statens vegne.

Det fastsættes, at ministeren for offentlig innovation kan udpege juridiske enheder til som registreringsenheder at varetage opgaven med at træffe afgørelse om at udstede NemID, hvorved registreringsenhederne kan træffe forvaltningsafgørelser på vegne af ministeren for offentlig innovation.

Der indføres lovhjemmel til, at ministeren for offentlig innovation kan fastsætte de regler, som borgere, virksomheder, offentlige myndigheder, frivillige foreninger mv. samt disses medarbejdere skal opfylde for at få udstedt NemID. Samtidig fastsættes det ved lov, at borgere og virksomheder, offentlige myndigheder, frivillige foreninger mv., der eksempelvis har fået afslag på at få udstedt eller genåbnet NemID eller har fået spærret NemID, vil kunne klage over denne afgørelse til Digitaliseringsstyrelsen.

Det er hensigten at videreføre hvad, der allerede gælder i dag i medfør af den kontrakt, som er indgået med Nets Dan­ID A/S, og som efter aftale med Digitaliseringsstyrelsen i januar 2018 er forlænget til 2021. Kontrakten om administration og udstedelse af NemID er udformet og fastsat af Digitaliseringsstyrelsen i de såkaldte OCES-certifikatpolitikker for henholdsvis person- og medarbejdercertifikater. Lovforslaget har ikke til hensigt at ændre på dette.

Lovforslaget omfatter NemID med offentlig digital signatur til fysiske personer, som er det NemID, som privatpersoner, også benævnt borgere, kan få udstedt online på hjemmesiden nemid.nu, hos en registreringsenhed i et pengeinstitut eller ved personligt fremmøde hos en registreringsenhed i en kommunes borgerservicecenter. Der er tale om en offentlig digital signatur baseret på et OCES-personcertifikat. En fysisk person kan få stillet én NemID til fysiske personer gratis til rådighed.

Lovforsalget omfatter desuden NemID med offentlig digital signatur til medarbejdere i juridiske enheder, også benævnt NemID medarbejdersignatur, som er det NemID, som en juridisk enhed med et CVR-nummer, herunder en virksomhed, en offentlig myndighed, en frivillig forening m.fl. kan få udstedt til konkrete medarbejdere til at legitimere sig på den juridiske enheds vegne. Et sådan NemID kan alene udstedes online på hjemmesiden medarbejdersignatur.dk. Der er tale om en offentlig digital signatur baseret på et OCES-medarbejdercertifikat. En juridisk enhed kan få stillet tre NemID til medarbejdere i juridiske enheder gratis til rådighed.

Der eksisterer pt. ikke andre udstedere af OCES-personcertifikater til borgere og OCES-medarbejdercertifikater til medarbejdere end Nets DanID A/S. Det er heller ikke hensigten, at der skal udpeges andre udstedere, der omfattes af loven. Derfor omfatter lovforslaget alene NemID til fysiske personer og til medarbejdere i juridiske enheder, og den allerede udpegede udsteder heraf.

Pengeinstitutter udsteder tillige NemID til netbank til fysiske personer, der adskiller sig fra NemID med offentlig digital signatur til fysiske personer. NemID til netbank udstedes til bankkunder og er alene til brug i netbank. NemID til netbank indeholder ikke offentlig digital signatur og giver derfor ikke adgang til offentlige tjenester. NemID til netbank og udstedelse heraf er ikke omfattet af lovforslaget. Pengeinstitutternes registreringsenheder vil dog være omfattet af lovforslaget, i det omfang de foretager registrering med henblik på udstedelse af NemID med offentlig digital signatur til fysiske personer i lighed med registreringsenhederne i kommunerne.

Lovforslaget udelukker ikke, at andre udvikler og udsteder andre eID- eller signaturløsninger på markedsvilkår. Loven udelukker desuden ikke, at andre EU-landes anmeldte eID efter eIDAS-forordningen (Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 af 23. juli 2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked og om ophævelse af direktiv 1999/93/EF) kan anvendes til at tilgå offentlige myndigheders hjemmesider og selvbetjeningsløsninger i Danmark.

Staten ejer og har tillige udviklet øvrige certifikatpolitikker for henholdsvis virksomheds- og funktionscertifikater. Disse certifikater adskiller sig fra NemID med offentlig digital signatur til fysiske personer og til medarbejdere i juridiske enheder og er ikke omfattet af lovforslaget.

2. Lovforslagets hovedindhold

2.1. Administration og udstedelse af NemID samt mulighed for at klage

2.1.1. Gældende ret

En digital signatur er en elektronisk underskrift, som blandt andet kan bruges, når det er væsentligt at vide, hvem man kommunikerer med elektronisk. NemID med offentlig digital signatur til fysiske personer og NemID til medarbejdere i juridiske enheder (NemID) er ikke lovreguleret.

Udvikling og udstedelse af NemID er en opgave, som stat, kommuner og regioner har finansieret for at fremme digitalisering af den offentlige forvaltning.

Administration og udstedelse af NemID, betingelserne for at få udstedt NemID samt borgerens og virksomhedernes mulighed for at klage ved afslag på at få udstedt eller genåbnet NemID følger i dag af certifikatpolitik for OCES-personcertifikater og af certifikatpolitik for OCES-medarbejdercertifikater, og aftaler indgået mellem Nets Dan­ID A/S og registreringsenhederne henholdsvis mellem Nets DanID A/S og den enkelte borger eller virksomhed, der har fået udstedt NemID.

På en lang række områder stiller offentlige myndigheder krav om, at borgere og virksomheder anvender NemID, når de skal tilgå offentlige digitale løsninger.

I lov om Digital Post fra offentlige afsendere, jf. lovbekendtgørelse nr. 801 af 13. juni 2016, er det fastsat, at fysiske personer, der er 15 år eller derover, og som har bopæl eller fast ophold i Danmark, obligatorisk skal tilsluttes Digital Post. Det er endvidere fastsat, at også juridiske enheder med CVR-nummer skal tilsluttes Digital Post. En forudsætning for at kunne tilsluttes og tilgå Digital Post er, at borgeren har NemID med offentlig digital signatur til fysiske personer, og at den juridiske enhed har NemID til medarbejdere i juridiske enheder til mindst en medarbejdere.

Der er indført obligatorisk digital selvbetjening på en lang række offentlige serviceområder. Der er overvejende taget udgangspunkt i det bølgelovs-koncept, som blev indført som led i udmøntning af den fællesoffentlige digitaliseringsstrategi (2011-2015) ved de fire samlelove om overgang til obligatorisk digital selvbetjening; lov nr. 558 af 18. juni 2012 (bølge 1), lov nr. 622 af 12. juni 2013 (bølge 2), lov nr. 552 af 2. juni 2014 (bølge 3) og lov nr. 742 af 1. juni 2015 (bølge 4). De fire samlelove indføjer i de fagspecifikke love stort set enslydende bestemmelser om, at de borgere, der kan, skal anvende digital selvbetjening, når borgeren skal ansøge, anmelde eller anmode mv. om det konkrete forhold, som loven på det pågældende område omhandler. Når en borger skal tilgå en offentlig myndigheds digitale selvbetjeningsløsning, vil det oftest forudsætte anvendelse af NemID. Tilsvarende er der på en lang række områder indført obligatorisk digital selvbetjening for virksomheder. Dette gælder eksempelvis på Erhvervsministeriets område, hvor blandt andet portalen Virk.dk skal tilgås med NemID til medarbejdere i juridiske enheder.

Det daværende IT- og Telestyrelsen, nu Digitaliseringsstyrelsen, har udarbejdet fire OCES-certifikatpolitikker for henholdsvis person-, medarbejder-, virksomheds- og funktionscertifikater. OCES er betegnelsen for Offentlige Certifikater til Elektronisk Service. OCES-certifikatpolitikkerne administreres af Digitaliseringsstyrelsen. Certifikatpolitikken for OCES-personcertifikater og OCES-medarbejdercertifikater udgør i dag grundlaget for udstedelse af NemID til borgere og medarbejdere og er senest opdateret til version 5 for OCES-personcertifikat og til version 6 for OCES-medarbejdercertifikat af den 2. marts 2017. OCES-certifikatpolitikkerne kan tilgås på hjemmesiden nemid.nu henholdsvis medarbejdersignatur.dk.

Elektroniske signaturer er reguleret af Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 af 23. juli 2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked og om ophævelse af direktiv 1999/93/EF (eIDAS-forordningen) samt lov nr. 617 af 8. juni 2016 om supplerende bestemmelser til forordning om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked.

Nets DanID A/S blev i 2008 udpeget af den daværende minister for videnskab, teknologi og udvikling, som udsteder af NemID på baggrund af et EU-udbud. Daværende IT- og Telestyrelsen, nu Digitaliseringsstyrelsen, har indgået en kontrakt med Nets DanID A/S i form af en OCES-standardaftale, hvori Nets DanID A/S blandt andet forpligter sig til at opfylde kravene i certifikatpolitikken for OCES-personcertifikater og for OCES-medarbejdercertifikater herunder at være underlagt Digitaliseringsstyrelsens tilsyn baseret på ekstern statsautoriseret revision. Certifikatpolitikken for OCES-personcertifikater og OCES-medarbejdercertifikater stiller krav til, hvordan og under hvilke vilkår Nets DanID A/S, som udsteder, skal udføre opgaven med administration og udstedelse af NemID på vegne af staten.

Digitaliseringsstyrelsen har registreret sin eneret til at benytte betegnelserne OCES og OCES-OID til brug for udstedelse af certifikater til offentlig digital signatur. Nets DanID A/S har via udpegningen ret til at benytte betegnelserne OCES og OCES-OID for de udstedte certifikater, der benyttes i NemID med offentlig digital signatur. Dette er et bevis over for offentligheden på, at NemID, som Nets Dan ID A/S udsteder, opfylder en række krav, som Digitaliseringsstyrelsen har opstillet og fører tilsyn med. Dette med henblik på sikker brug og administration af digitale signaturer.

Den udpegede private virksomhed bliver i den eksisterende aftalebaserede tilgang betragtet som dataansvarlig i databeskyttelsesretlig forstand i forhold til administration af NemID-løsningen, og skal således blandt andet leve op til en række forpligtelser over for den registrerede, der følger af den til enhver tid gældende databeskyttelsesretlige regulering.

Administration, registrering og udstedelse af NemID kan ifølge certifikatpolitikken for OCES-personcertifikater varetages af Nets DanID A/S selv eller af en selvstændig registreringsenhed ved delegation. Nets DanID A/S har det praktiske og forretningsmæssige ansvar for udstedelsesprocessen, herunder validering af borgerens identitet. For at blive registreringsenhed indgås en aftale med Nets DanID A/S.

Nets DanID A/S har indgået bilaterale aftaler med de enkelte kommuner om at udstede NemID til borgere ved fysisk fremmøde. Dette er led i den fællesoffentlige aftale om udbredelse og anvendelse af NemID (eDag 1-3). Derfor er en række af kommunernes borgerservicecentre udpeget som selvstændige registreringsenheder, hvor betroede registreringsmedarbejdere udsteder NemID til borgere, der møder fysisk frem. Dette gælder eksempelvis borgere, der hverken har kørekort eller pas, og som derfor ikke kan anmode om NemID digitalt. Der foreligger således dels en aftale mellem Digitaliseringsstyrelsen og KL, dels bilaterale aftaler mellem Nets DanID A/S og hver enkelt kommune, der udsteder NemID.

Ud over kommunerne har en række pengeinstitutter i Danmark indgået lignende bilaterale aftaler med Nets DanID A/S om, som registreringsenheder, at udstede NemID med offentlig digital signatur til fysiske personer. Hertil kommer Kriminalforsorgen, der kan agere registreringsenhed i forhold til indsatte i fængslerne og lignende.

Aftalerne med registreringsenhederne indeholder kommunernes og pengeinstitutternes accept af, at de i deres egenskab af registreringsenhed for Nets DanID A/S skal overholde de betingelser og udstedelsesprocesser, som er udstukket af Nets DanID A/S, og at de er underlagt revision fra Nets DanID A/S.

Registreringsenhedernes administration og udstedelse af NemID er nøje beskrevet i bilaterale standardiserede aftaler mellem den enkelte kommune og Nets DanID A/S. Aftalerne indeholder tillige instrukser, arbejdsgangsbeskrivelser mv., kriterier for, hvornår der kan udstedes NemID til en borger, en udførlig og detaljeret beskrivelse af rammerne for udstedelsesproceduren og arbejdsgange for udstedelse af NemID. Disse instrukser støtter medarbejderne i deres konkrete vurdering af, hvorvidt en borger opfylder betingelserne for at få udstedt NemID.

Aftalerne med registreringsenhederne indeholder bestemmelser for revision, uddannelse og teknisk understøttelse. Nets DanID A/S stiller derefter deres registrering- og udstedelsesmodul til rådighed og uddanner medarbejderne fra registreringsenheden til at kunne udstede NemID.

Certifikatpolitikken for OCES-medarbejdercertifikater indeholder ikke tilsvarende mulighed for udstedelse af NemID hos en registreringsenhed. En juridisk enhed, der har et CVR-nummer, vil altid skulle indgå en aftale om udstedelse med Nets DanID A/S og udpege en administrator, der på vegne af den juridiske enhed anmoder om udstedelse af NemID til medarbejdere i juridiske enheder digitalt på hjemmesiden medarbejdersignatur.dk.

Rammerne for udstedelse af NemID er fastsat i certifikatpolitik for OCES-personcertifikater og for OCES-medarbejdercertifikater. NemID udstedes til en fysisk person, når en fysisk person er blevet identificeret og registreret hos Nets DanID A/S. NemID udstedes til en juridisk enhed, når den juridiske enhed har indgået en aftale med Nets DanID A/S, angivet sit CVR-nummer og udpeget en administrator. Rammerne for udstedelse har særligt fokus på sikkerheden omkring udstedelse og anvendelse af NemID-løsningen med henblik på at skabe troværdighed og tillid omkring løsningen og registreringsenhedernes udstedelse af NemID. En fysisk person, der er fyldt 15 år, har et personnummer og kan legitimere sig fyldestgørende, kan anmode om at få udstedt NemID online på hjemmesiden nemid.nu, hos en registreringsenhed i et pengeinstitut eller ved personligt fremmøde hos en registreringsenhed i kommunernes borgerservicecentre. Derudover kan en person, der opfylder ovenstående krav også få udstedt NemID hos en registreringsenhed i Grønland. En borger med et administrativt personnummer kan alene få udstedt NemID ved personligt fremmøde hos en registreringsenhed.

I forbindelse med udstedelse af NemID fremgår det af certifikatpolitikken, at borgeren henholdsvis den juridiske enhed og hver medarbejder, der skal have NemID, skal acceptere de vilkår, der gælder for NemID, som er udformet af Nets DanID A/S og godkendt af Digitaliseringsstyrelsen. Vilkårene for NemID fastslår, hvordan borgeren henholdsvis den juridiske enhed og medarbejdere skal håndtere NemID. Vilkårene for NemID er udarbejdet på baggrund af kravene i certifikatpolitik for OCES-personcertifikater og certifikatpolitik for OCES-medarbejdercertifikater og betegnes som »NemID-regler«. Vilkårene bliver løbende revideret af Digitaliseringsstyrelsen efter høring af Nets DanID A/S for at sikre en tilstrækkelig høj sikkerhed og troværdighed for løsningen. Det er afgørende for sikkerheden, troværdigheden og tilliden omkring NemID, at der ikke udstedes NemID til borgere, som kognitivt ikke er i stand til at forstå de fastsatte vilkår og at håndtere nøglekort og NemID korrekt. Ved borgerens fysiske fremmøde i borgerservice foretager borgerservicemedarbejderen i sin egenskab af registreringsenhed en vurdering af, om en borger kan opfylde kravene til udstedelse af NemID. På denne baggrund træffer registreringsenheden afgørelse om at udstede NemID eller at afslå at udstede NemID til borgeren. For juridiske enheder udpeges der en administrator, som anviser de medarbejdere, der skal udstedes NemID til. Administratoren står inde for, at de anviste medarbejdere er tilknyttet den juridiske enhed.

Digitaliseringsstyrelsen har ansvaret for kontrakten med Nets DanID A/S, for certifikatpolitikken for OCES-personcertifikater, for certifikatpolitikken for OCES-medarbejdercertifikater og for tilsynet med Nets DanID A/S. Tilsynet med Nets DanID A/S består ifølge certifikatpolitikken for OCES-personcertifikater og for OCES-medarbejdercertifikater af en årlig rapport, som skal udfærdiges af Nets DanID A/S og godkendes af Digitaliseringsstyrelsen. Rapporten skal blandt andet indeholde beskrivelse af certificeringspraksis, revisionsprotokol for systemrevisionen, en erklæring om, hvorvidt den samlede data-, system- og driftssikkerhed må anses for betryggende, en erklæring fra systemrevisor om, hvorvidt den samlede data-, system- og driftssikkerhed efter systemrevisors opfattelse må anses for betryggende, samt af at certificeringspraksis opfyldes og dokumentation for ansvarsforsikring, der dækker Nets DanID A/S' ansvar.

Systemrevisionen skal gennemføres af en ekstern statsautoriseret revisor. Systemrevisionen indeholder revision af generelle it-kontroller, it-baserede brugersystemer mv. til generering af nøgler og nøglekomponenter samt registrering, udstedelse, verificering, opbevaring og spærring af certifikater og it-systemer til udveksling af data med andre samt en sårbarhedsvurdering af logningsprocedure. Når en registreringsenhed træffer afgørelse om at give afslag på at udstede NemID til en borger, sker det på baggrund af den aftale, som registreringsenheden har indgået med Nets Da?n­ID A/S, om at sikre overholdelse af krav til udstedelse af NemID.

En borger skal i forbindelse med et afslag på at få udstedt eller genåbnet NemID oplyses om grunden til afslaget og muligheden for at klage. Et afslag gives typisk mundtligt. Ved afslag på udstedelse af NemID har borgeren på et senere tidspunkt mulighed for at indgive en ny anmodning om udstedelse af NemID eksempelvis med de rigtige legitimationsdokumenter eller et eventuelt vitterlighedsvidne. Endvidere er der mulighed for, at borgeren kan benytte en tolk.

Såvel en borger som en juridisk enhed, der digitalt anmoder om NemID, skal vejledes om reglerne.

Digitaliseringsstyrelsen har som ressortansvarlig myndighed aftalt med Nets DanID A/S, at klager over afgørelser truffet af Nets DanID A/S og registreringsenhederne kan videresendes til Digitaliseringsstyrelsen. Digitaliseringsstyrelsen behandler således i dag, som ansvarlig for certifikatpolitikken for OCES-personcertifikater og certifikatpolitikken for OCES-medarbejdercertifikater og kontrakten med Nets DanID A/S, klager i relation til NemID, herunder blandt andet klager over spærring og afslag på at få udstedt eller genåbnet NemID.

Digitaliseringsstyrelsen kan i konkrete sager rette henvendelse til en registreringsenhed eller Nets DanID A/S med henblik på at få klarlagt fakta i en klagesag.

Når Digitaliseringsstyrelsen har behandlet en klage fra en borger eller en juridisk enhed, får klageren et skriftligt svar på henvendelsen.

2.1.2. Finansministeriets overvejelser og lovforslagets indhold

På baggrund af den øgede digitalisering og den meget centrale rolle, som NemID med offentlig digital signatur til fysiske personer og til medarbejdere i juridiske enheder (NemID) spiller i den forbindelse, har Finansministeriet løbende overvejet, hvorvidt der bør lovgives om administration og udstedelse af NemID til borgere og juridiske enheder, herunder om borgerens og virksomhedernes rettigheder og klageadgang.

Udbredelsen og anvendelsen af NemID har blandt andet med krav om tilslutning til Digital Post fra offentlige afsendere og krav om anvendelse af offentlige myndigheders digitale selvbetjeningsløsninger bevæget sig mod en mere betydelig og central rolle, end det oprindelige udgangspunkt, da Nets DanID A/S blev udpeget i 2008. NemID udgør nu en væsentlig infrastrukturkomponent. Det er således nødvendigt at have NemID for at kunne tilgå Digital Post og for at kunne betjene sig selv på de mange offentlige digitale selvbetjeningsløsninger, herunder borger.dk og Virk.dk. Den hastige udvikling i den offentlige digitalisering har betydet, at udbredelsen og anvendelsen af NemID har et sådan omfang og betydning, at NemID er væsentlig for borgeres og virksomheders adgang til den offentlige forvaltning og for mulighed for at være borger henholdsvis virksomhed i det digitale Danmark.

Folketingets Ombudsmand har i sin redegørelse 2017-19 af 15. juni 2017 »Forvaltningen af NemID gav anledning til spørgsmål om tilstrækkelig lovhjemmel m.v.« blandt andet udtalt, at NemID fra at være et frivilligt tilbud til borgere, der ønskede at tilmelde sig ordningen, og som fra starten kun indgik i forholdsvis få offentlige digitale løsninger, er blevet en integreret del af en lang række obligatoriske offentlige digitale løsninger. Det fremgår videre, at NemID således er gået fra at være et tilbud om, at borgere, som ønskede det, i visse tilfælde kunne betjene sig af digitale løsninger, til at være praktisk talt afgørende for, at borgerne kan opnå en tidssvarende betjening i forhold til store dele af det offentlige. Dette gælder både for offentlig servicevirksomhed (faktisk forvaltningsvirksomhed) og for offentlig afgørelsesvirksomhed. Folketingets Ombudsmand har peget på behovet for at tydeliggøre, hvorvidt den opgavevaretagelse, som Nets DanID A/S henholdsvis registreringsenhederne varetager, er afgørelsesvirksomhed eller anden form for myndighedsudøvelse. Der skal tillige sikres hjemmel til at delegere opgaven til Nets DanID A/S henholdsvis registreringsenhederne.

Det er på denne baggrund Finansministeriets vurdering, at der bør være klarhed omkring myndighedsansvar og borgerens retsstilling i forbindelse med udstedelse af NemID. Tilsvarende gør sig gældende for juridiske enheders mulighed for at få udstedt NemID medarbejdersignatur.

Formålet med loven er derfor at tydeliggøre borgernes og virksomhedernes retsstilling, herunder klagemuligheder, samt at fastslå ved lov, at det er en myndighedsopgave og et myndighedsansvar at sikre udstedelse af NemID.

Det er Finansministeriets vurdering, at det bør tydeliggøres, at en udpeget udsteder, som i dag er den private virksomhed Nets DanID A/S, og registreringsenhederne, varetager en myndighedsopgave og træffer en forvaltningsretlig afgørelse, når de udsteder NemID til en borger eller en medarbejder i en juridisk enhed, giver afslag på at udstede eller genåbne NemID, og når de spærrer NemID. Det har den betydning, at de almindelige forvaltningsretlige regler, herunder forvaltningsloven, og forvaltningsretlige grundsætninger vil finde anvendelse i sådanne afgørelsessager.

Med lovforslaget er det hensigten at fastslå, at ministeren for offentlig innovation (i praksis Digitaliseringsstyrelsen) har ansvaret for at udpege en udsteder, der skal udføre opgaven med at administrere og udstede NemID til borgere og medarbejdere i juridiske enheder. Nets DanID A/S er allerede udpeget og vil derfor agere udsteder i perioden frem til den gældende kontrakt udløber eventuelt efter forlængelse, hvor overgangen til den kommende nationale eID- og autentifikationsløsning, MitID, forventes gennemført.

Det tydeliggøres med loven, at udstederen af NemID er udpeget af ministeren for offentlig innovation til at varetage opgaven på statens vegne. Dermed er opgaven med at administrere og udstede NemID delegeret til en privat udsteder, der kan træffe afgørelse om udstedelse af NemID og give afslag på udstedelse og genåbning af NemID. Der henvises til lovforslagets § 1, stk. 1.

For at imødekomme tvivl indsættes en særskilt bestemmelse i loven om, at forvaltningsloven, jf. lovbekendtgørelse nr. 433 af 22. april 2014, gælder, når udsteder henholdsvis registreringsenhederne træffer afgørelse.

Herved tydeliggøres det, at administration og udstedelse af NemID skal ske efter forvaltningsretlige regler og principper. En borger eller en virksomhed, der eksempelvis får afslag på at få udstedt NemID, skal derfor blandt andet have en begrundelse og en klagevejledning samt eventuelt en skriftlig afgørelse. Der henvises til lovforslagets § 3.

Det følger af § 5 i lov nr. 606 af 12. juni 2013 om offentlighed i forvaltningen, at offentlighedsloven finder anvendelse på eksempelvis private virksomheder og juridiske enheder, der ved lov har fået tillagt beføjelse til at træffe afgørelser på statens vegne.

Der indføres hjemmel til, at ministeren for offentlig innovation kan fastsætte de regler og vilkår, som en borger henholdsvis en juridisk enhed skal opfylde for at få udstedt NemID, og som borgeren og den juridisk enheds medarbejder løbende skal overholde for at have adgang til at anvende NemID. Det er hensigten, at der fastsættes regler, der viderefører den gældende tilgang i forbindelse med udstedelse, spærring og håndtering af NemID.

Den gældende tilgang fremgår blandt andet af punkt 6.2 i certifikatpolitik for OCES-personcertifikater og for OCES-medarbejdercertifikater.

Det forudsættes i forbindelse med udstedelsen af regler med hjemmel i lovforslagets § 1, stk. 2, at de krav, der fastsættes, og som borgere samt juridiske enheder og deres medarbejdere skal opfylde for at få udstedt NemID, følger de til enhver tid gældende krav, som fremgår af certifikatpolitik for OCES-personcertifikater og af OCES-certifikatpolitik for medarbejdercertifikater.

Med fastsættelse af regler skal det blive klart for borgerne og juridiske enheder, i hvilke tilfælde de kan forvente at kunne få NemID, og hvad der skal til for, at de løbende har adgang til at anvende NemID.

Det er ikke hensigten at ændre på de gældende krav og vilkår, som en borger henholdsvis en juridisk enhed og dens medarbejdere skal opfylde for at få udstedt eller anvende NemID, da det er hensigten at videreføre den eksisterende praksis. Der henvises til lovforslagets § 1, stk. 2.

Med lovforslaget slås det fast, at den udpegede udsteder, det vil i dag sige Nets DanID A/S, henholdsvis registreringsenhederne på vegne af ministeren for offentlig innovation skal administrere og udstede NemID efter de regler, som fastsættes i medfør af § 1, stk. 2. Den udpegede udsteder henholdsvis registreringsenhederne vil herudover skulle administrere inden for øvrige relevante regler, herunder forvaltningsloven og den til enhver tid gældende databeskyttelsesretlige regulering.

Det fastsættes, at ministeren for offentlig innovation kan overlade opgaven med at træffe afgørelse om at udstede NemID til juridiske enheder (såkaldte registreringsenheder), hvorved disse kan træffe forvaltningsafgørelser. Begrebet »juridisk enhed« skal forstås i overensstemmelse med anvendelsen af begrebet i lov om Det Centrale Virksomhedsregister, jf. lovbekendtgørelse nr. 653 af 15. juni 2006 med senere ændringer, hvoraf det fremgår af § 3, at en juridisk enhed kan være 1) en fysisk person i dennes egenskab af arbejdsgiver eller selvstændigt erhvervsdrivende, 2) en juridisk person eller filial af en udenlandsk juridisk person, 3) en statslig administrativ enhed, 4) en region, 5) en kommune eller 6) et kommunalt fællesskab. Det sikres samtidig, at loven anvender samme begreb, som anvendes i OCES-personcertifikatpolitikken. Der henvises til lovforslagets § 2.

Det fastsættes direkte i loven, at en fysisk person, der er fyldt 15 år og har et personnummer, kan anmode om at få udstedt NemID. Udsteder henholdsvis registreringsenheden skal forinden sikre, at borgeren legitimerer sig fyldestgørende. Det fastsættes endvidere direkte i loven, at en juridisk enhed med CVR-nummer, eksempelvis en virksomhed en offentlig myndighed, en frivillig forening mv., der har indgået aftale med Nets DanID A/S og har udpeget en administrator, kan anmode om at få udstedt NemID til en eller flere medarbejdere. De nærmere betingelser for at få udstedt NemID vil blive fastsat i medfør af § 1, stk. 2.

For at sikre, at borgere og juridiske enheder, der får afslag på at få udstedt NemID, har mulighed for at klage over dette, fastsættes det i loven, at et afslag på at få udstedt NemID kan påklages til Digitaliseringsstyrelsen. Denne klageadgang gælder uanset, om afgørelsen er truffet af den udpegede udsteder eller af en registreringsenhed, som er udpeget i henhold til lovforslagets § 2. Det understreges samtidig, at administrationen er henlagt under Digitaliseringsstyrelsen som ansvarlig myndighed på området. Det vil endvidere være muligt at indbringe klager over afgørelser om afslag på genåbning af NemID samt afgørelse om spærring af NemID, manglende mulighed for fornyelse og lignende, hvor eksempelvis en registreringsenhed, som led i behandlingen af en anmodning om at få udstedt NemID, træffer en konkret forvaltningsretlig afgørelse i forhold til en borger. Der henvises til lovforslagets § 5, stk. 1.

Digitaliseringsstyrelsen vil som hidtil føre tilsyn med NemID gennem de bestemmelser, der fremgår af OCES-certifikatpolitikkerne. Med lovforslaget er det ikke hensigten at ændre på den tilsynsopgave, som Digitaliseringsstyrelsen allerede har med Nets DanID A/S som udsteder af NemID, jf. beskrivelsen oven for i afsnit 2.1.1.

Lovforslaget finder ikke anvendelse på forhold omfattet af lov nr. 617 af 8. juni 2016 om supplerende bestemmelser til forordning om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked. Digitaliseringsstyrelsen er udpeget som tilsynsorgan, og finansministeren (nu ministeren for offentlig innovation) er bemyndiget til at fastsætte nærmere regler om tilsynet. Tilsyn med national autentifikation er ikke reguleret i eIDAS- forordningen (Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 af 23. juli 2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked og om ophævelse af direktiv 1999/93/EF). Det forudsættes imidlertid i forordningen, at der er et nationalt tilsyn, idet det følger af forordningen, at en medlemsstat skal redegøre for det tilsyn, der føres med en autentifikationsløsning, såfremt den anmeldes til Kommissionen. NemID-løsningen integrerer autentifikation og signering i den samme løsning, hvorved det etablerede tilsyn fører tilsyn med såvel signeringsdelen som autentifikationsdelen. Lovforslaget vedrører alene det eksisterende NemID til fysiske personer og til juridiske enheder og deres medarbejdere.

Nets DanID A/S' ret til at udstede NemID udløber forventeligt i 2021. Digitaliseringsstyrelsen forbereder et EU-udbud af den kommende nationale eID- og autentifikationsløsning; MitID. Digitaliseringsstyrelsen har indgået et samarbejde med pengeinstitutterne repræsenteret ved Finans Danmark via selskabet FR1 af 16. september 2015 A/S om dette EU-udbud. Det kommende Mi?tID vil ikke være omfattet af lovforslaget, hvorfor det er hensigten at ophæve loven, når Nets DanID A/S' ret til at udstede NemID udløber. Digitaliseringsstyrelsen igangsætter forud for ibrugtagelsen af Mi?t­ID et arbejde med at undersøge behovet for en mere generel regulering af nationale eID-løsninger, herunder MitI­D, og visse andre offentlige digitale infrastrukturløsninger mv.

3. Økonomiske og administrative konsekvenser for det offentlige

Det vurderes, at lovforslaget ikke har økonomiske konsekvenser for det offentlige. Lovforslaget har alene mindre administrative konsekvenser for det offentlige.

Der er tale om en videreførelse af det, der allerede følger af gældende OCES-certifikatpolitikker, som Digitaliseringsstyrelsen har udarbejdet, og som Nets DanID A/S udsteder NemID med offentlig digital signatur til fysiske personer og til medarbejdere i juridiske enheder (NemID) efter. Der er tillige tale om en videreførelse af en administration, der allerede er etableret ved privat aftaleindgåelse dels mellem Digitaliseringsstyrelsen og Nets DanID A/S og dels mellem Digitaliseringsstyrelsen og KL samt Nets DanID A/S og registreringsenhederne i de enkelte kommuner og pengeinstitutter, hvor registreringsenhederne udsteder NemID til borgere, der opfylder, de fastsatte vilkår.

Med lovforslaget fastslås det, at borgere og juridiske enheder kan klage til Digitaliseringsstyrelsen. Digitaliseringsstyrelsen vil med lovforslaget skulle behandle klager og træffe afgørelse, hvis en borger klager over, at NemID er blevet spærret eller at have fået afslag på at få udstedt eller åbnet for et spærret NemID. Nets DanID A/S har overfor Digitaliseringsstyrelsen oplyst, at de erfaringsmæssigt modtager mellem 20-25 klager om året med relation til udstedelse, spærring og genåbning af NemID. Hovedparten af disse håndteres ved simpel information samt oplysning om, at der kan klages til Digitaliseringsstyrelsen. Digitaliseringsstyrelsen modtager cirka 10 klager om året. Det er vurderingen, at bestemmelsen om klageadgang til Digitaliseringsstyrelsen ikke medfører mere administration i form af flere klager, hverken i den enkelte registreringsenhed eller i Digitaliseringsstyrelsen. Det er vurderingen, at antallet af klager vil være på niveau med det nuværende, og at det vil kunne afholdes indenfor Digitaliseringsstyrelsens eksisterende ramme.

Det vurderes, at ændringer i eksisterende aftaler mellem Nets DanID A/S og registreringsenhederne samt ændring af vilkår i forhold til borgere og virksomheder har visse økonomiske konsekvenser. Det vurderes, at der er tale om ikke væsentlige økonomiske konsekvenser.

4. Økonomiske og administrative konsekvenser for erhvervslivet mv.

Lovforslaget har ingen økonomiske eller administrative konsekvenser for erhvervslivet.

Et udkast til lovforslaget har været forelagt Erhvervsstyrelsens Team Effektiv Regulering (TER), der vurderer, at loven ikke medfører administrative konsekvenser for erhvervslivet.

Det vurderes, at lovforslaget giver virksomhederne en mere klar retsstilling og sikrer, at virksomheder kan klage til Digitaliseringsstyrelsen over afslag på at få udstedt NemID mv. Det er fastsat, at Digitaliseringsstyrelsens afgørelser ikke kan indbringes for anden administrativ myndighed, hvilket kan anses som en vis begrænsning i virksomhedernes administrative muligheder.

5. Administrative konsekvenser for borgerne

Det vurderes, at lovforslaget giver borgerne en mere klar retsstilling og sikrer, at borgerne kan klage til Digitaliseringsstyrelsen over afslag på at få udstedt NemID mv. Det er fastsat, at Digitaliseringsstyrelsens afgørelser ikke kan indbringes for anden administrativ myndighed, hvilket kan anses som en vis begrænsning i borgernes administrative muligheder.

6. Miljømæssige konsekvenser

Lovforslaget har ingen miljømæssige konsekvenser.

7. Forholdet til EU-retten

Lovforslaget indeholder ingen EU-retlige aspekter.

Lovforslaget omfatter ikke anerkendelse af elektroniske identifikationsmidler for fysiske og juridiske personer, der er omfattet af en anmeldt elektronisk identifikationsordning i en anden EU-medlemsstat, jf. Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 af 23. juli 2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked og om ophævelse af direktiv 1999/93/EF (eIDAS-forordningen). eIDAS-forordningen regulerer tilsyn med tillidstjenester, hvorunder signering henhører. Der fremgår blandt andet, at der skal udpeges et nationalt tilsyn, og at hensigten er, at Kommissionen udarbejder supplerende retsakter.

8. Hørte myndigheder og organisationer mv.

Et tidligere udkast til lovforslaget har i perioden fra den 1. december 2017 til den 4. januar 2018 været sendt i offentlig høring hos nedenstående myndigheder og organisationer mv. På baggrund af justeringer, hvor blandt andet NemID til medarbejdere i juridiske enheder omfattes af lovforslaget, har et nyt udkast til lovforslag i perioden fra den 8. til den 16. februar 2018 været i sendt i offentlig høring hos samme myndigheder og organisationer mv.:

Advokatsamfundet/Advokatrådet, Arbejderbevægelsens Erhvervsråd, Danmarks Statistik, Dansk Blindesamfund, Dansk Energi, Dansk Erhverv, Dansk Handikap Forbund, Dansk IT, Danske Advokater, Danske Handicaporganisationer, Danske Regioner, Datatilsynet, Den Danske Dommerforening, Det Centrale Handicapråd, DI/ITEK, DIDI-ITEK, DKCERT, Dysleksiforeningen i Danmark, Døves Landsforbund, FDIH - Foreningen for Dansk Internethandel, Finans Danmark, Finansrådet, Finanstilsynet, Folketingets Ombudsmand, Forbrugerrådet, Forsikring og Pension, Institut for Menneskerettigheder, IT-branchen, IT-Politisk Forening, KL, Landsforeningen SIND, LO, Muskelsvindsfonden, Parkinsonforeningen, Patientforeningen, PROSA, Psykiatrifonden, Rigsombudsmanden i Grønland, Rigsombudsmanden på Færøerne, Rådet for digital sikkerhed, Rådet for Socialt Udsatte, Scleroseforeningen, Statens Serum Institut, Telekommunikationsindustrien i Danmark, Ældremobiliseringen og Ældresagen.

Bemærkninger til lovforslagets enkelte bestemmelser

Til § 1

Formålet med den foreslåede bestemmelse i § 1, stk. 1, er at sikre tydelig hjemmel til, at ministeren for offentlig innovation udpeger en privat virksomhed til at være udsteder og dermed til at varetage opgaven med at administrere og træffe afgørelse om at udstede NemID med offentlig digital signatur til fysiske personer og til medarbejdere i juridiske enheder (NemID).

Det foreslås fastsat, at den udpegede udsteder, er en privat virksomhed. Bestemmelsen giver således udtrykkelig lovhjemmel til, at denne myndighedsopgave kan delegeres til en privat virksomhed.

Ministerens bemyndigelse forventes i praksis at ville blive udøvet af Digitaliseringsstyrelsen.

Det slås dermed fast, at NemID udstedes på statens vegne, og at det er ministeren for offentlig innovation, der har myndighedsansvaret og sikrer, at der udpeges en udsteder af NemID til fysiske personer og til medarbejdere i juridiske enheder. En udsteder skal forstås i overensstemmelse med det, der i OCES-certifikatpolitikkerne betegnes som et certificeringscenter. OCES-certifikatpolitikkerne kan tilgås på hjemmesiden nemid.nu henholdsvis medarbejdersignatur.dk.

Nets DanID A/S er allerede godkendt og udpeget til at varetage opgaven som udsteder af NemID. Udpegning af Nets DanID A/S, som udsteder, skete på baggrund af et EU-udbud gennemført i 2008. Kontrakten løber pt. til 2021, hvor den nye MitID-løsning forventes idriftsat. Det er hensigten, at Nets DanID A/S - der allerede i dag er udpeget som udsteder - fortsætter med at varetage opgaven med at administrere og udstede NemID på de vilkår, som er fastsat i den til enhver tid gældende certifikatpolitik for OCES-personcertifikater og certifikatpolitik for OCES-medarbejdercertifikater i perioden frem til den gældende kontrakt udløber. OCES-certifikatpolitikkerne kan tilgås på hjemmesiden nemid.nu henholdsvis medarbejdersignatur.dk. .

Bestemmelsen omfatter NemID, som udstedes til fysiske personer, som også benævnes privatpersoner eller borgere og NemID, som udstedes til medarbejdere i juridiske enheder, også benævnt NemID medarbejdersignatur. NemID til fysiske personer og til medarbejdere i juridiske enheder adskiller sig eksempelvis fra virksomheds- og funktions-certifikater samt fra pengeinstitutternes NemID til netbank, som ikke er omfattet af lovforslaget.

Den udpegede udsteder (i dag Nets DanID A/S) skal blandt andet administrere og træffe afgørelse om at udstede NemID til borgere og til medarbejdere i juridiske enheder, og forventes i sin administration, afgørelses- og udstedelsesvirksomhed at agere i henhold til gældende ret. Udstederen skal blandt andet sikre, at borgeren henholdsvis den juridiske enhed og dens medarbejdere opfylder de betingelser, der fremgår af § 4, og de regler, der i medfør af § 1, stk. 2, fastsættes for løbende at kunne anvende NemID. Udstederen foretager en vurdering af, om borgeren henholdsvis den juridiske enhed opfylder betingelserne i § 4, og om borgeren henholdsvis medarbejderen kan legitimeres fyldestgørende, og træffer herefter ved udstedelse af NemID en afgørelse i forvaltningslovens forstand.

Som det fremgår af den foreslåede § 3, skal udstederen således efterleve de almindelige forvaltningsretlige regler og principper, når udstederen administrerer reglerne om udstedelse af NemID. Hvis udstederen træffer en afgørelse om at give borgeren afslag på at få udstedt eller genåbnet NemID, eller om at spærre NemID, skal borgeren henholdsvis den juridiske enhed blandt andet have en begrundelse og en klagevejledning eventuelt skriftligt, jf. forvaltningslovens kapitel 6 og 7. Endvidere gælder partshøringsreglerne i forvaltningslovens § 19, ligesom det skal sikres, at borgere og juridiske enheder bliver tilstrækkeligt vejledt om, hvilke regler de henholdsvis medarbejderne løbende skal leve op til ved anvendelse af NemID. Udsteder henholdsvis registreringsenhederne skal i forbindelse med behandling af en anmodning om at få udstedt NemID og den afgørelse, som træffes, sikre, at borgeren henholdsvis den juridiske enhed vejledes tilstrækkeligt om reglerne for at få udstedt NemID og om reglerne for løbende at kunne anvende NemID, herunder om konsekvenserne ved ikke at overholde disse, jf. forvaltningslovens § 7. Vejledningen kan efter omstændighederne i det konkrete tilfælde tillige omfatte, hvilke muligheder borgeren har for at blive betjent af den offentlige forvaltning uden et NemID, samt hvilke muligheder borgeren har for på ny at anmode om at få udstedt NemID.

Det foreslås med formuleringen af § 1, stk. 2, at give ministeren for offentlig innovation hjemmel til at fastsætte regler om administrationen af NemID, herunder om udstedelse og spærring samt genåbning af NemID. Der vil tillige kunne fastsættes regler, der omhandler de krav, der stilles til borgerens og den juridiske enheds medarbejderes løbende håndtering af NemID.

De regler, der fastsættes, skal sikre, at der i medfør af loven etableres en proces og klare regler for, hvordan en borger henholdsvis en medarbejdere i juridiske enheder kan få udstedt NemID. Det er hensigten, at der fastsættes regler om, hvilke betingelser udover dem, der fremgår af § 4, en borger henholdsvis en medarbejder skal opfylde for at kunne få udstedt NemID, samt hvilke betingelser borgeren henholdsvis den juridiske enhed og medarbejderen løbende skal opfylde for at have og anvende NemID. Det er hensigten i medfør af bestemmelsen at fastsætte, hvornår der kan gives afslag på udstedelse, regler om spærring, ny-udstedelse, genåbning og lignende.

Regler om håndtering af NemID fastsættes af hensyn til den samlede sikkerhed i NemID-løsningen. Reglerne skal være med til også at sikre borgerne og de juridiske enheder mod konkret misbrug og skal samtidig bidrage til at opretholde den samlede sikkerhed ved NemID. Der kan blandt andet fastsættes regler om, at borgeren skal hemmeligholde nøglekortet og koder, at borgeren kognitivt skal have evnen til at forstå og følge reglerne, herunder beskytte det udstedte NemID og sine koder mod andres brug og misbrug. Tilsvarende kan der fastsættes regler om, at juridiske enheder skal indgå aftale og udpege en administrator til at anvise medarbejdere, som har tilknytning til den juridiske enhed og skal have udstedt NemID medarbejder-signatur. Det kan blandt andet fastsættes, at borgere og medarbejdere i juridiske enheder skal tage rimelige forholdsregler for at beskytte de sikkerhedsmekanismer, der sikrer NemID mod kompromittering, ændring, tab og uautoriseret brug, og at adgangskoden skal hemmeligholdes, så andre ikke får kendskab til denne. Det vil tillige kunne fastsættes, hvilke konsekvenser det har, hvis borgeren eller medarbejderen ikke overholder disse krav, efter NemID er udstedt. Det vil eksempelvis kunne fastsættes, at NemID spærres ved mistanke om misbrug eller tilsvarende brud på sikkerheden.

Det forventes, at det fastsættes, at en fysisk person og juridiske enheder kan anmode om at få udstedt NemID online på henholdsvis hjemmesiderne nemid.nu og medarbejdersignatur.dk. Det forventes tillige, at det bliver fastsat, at borgere kan få udstedt NemID hos en registreringsenhed i et pengeinstitut og ved personligt fremmøde hos en registreringsenhed i kommunernes borgerservicecentre.

De vilkår og krav, som gælder i dag, følger af certifikatpolitik for OCES-personcertifikater punkt 6.2, 7.3.1 og 7.3.2, og udgør grundlaget for vilkårene for udstedelse af NemID (de såkaldte NemID-regler). For virksomheder følger vilkår og krav af certifikatpolitik for OCES-medarbejdercertifikater punkt 6.2, 7.3.1 og 7.3.2. Hensigten er i bekendtgørelsen at fastsætte regler tilsvarende de allerede gældende vilkår rettet mod borgere og juridiske enheder og deres medarbejdere, så det tydeligt fremgår af bekendtgørelsen, hvornår en borger henholdsvis en medarbejder kan få udstedt NemID, og hvilke vilkår de skal opfylde henholdsvis løbende overholde. OCES-certifikatpolitikkerne kan tilgås på hjemmesiden nemid.nu henholdsvis medarbejdersignatur.dk.

Det fremgår blandt andet af certifikatpolitikken for OCES-personcertifikater punkt 6.2, at Nets DanID A/S ved aftale skal forpligte certifikatindehaveren, den fysiske person, til at opfylde en række betingelser. Betingelserne er fastsat som vilkår for NemID, som er de vilkår, som den enkelte borger (certifikatindehaveren) skal acceptere i forbindelse med udstedelse af NemID. Det forventes, at der i lighed med hvad der følger af certifikatpolitikken for OCES-personcertifikater, blandt andet vil blive fastsat regler om, at borgeren skal give fyldestgørende og korrekte svar på alle anmodninger fra den udpegede udsteder (Nets DanID A/S) og registreringsenheder, om information i ansøgningsprocessen, at en borger alene må benytte NemID i henhold til certifikatpolitikkens bestemmelser, at en borger skal tage rimelige forholdsregler for at beskytte de sikkerhedsmekanismer, der sikrer NemID mod kompromittering, ændring, tab og uautoriseret brug, at en borger skal hemmeligholde adgangskoden, så andre ikke får kendskab til denne, at en borger ved modtagelse af NemID skal sikre sig at indholdet heraf er i overensstemmelse med de faktiske forhold, at en borger omgående skal anmode om spærring og eventuel fornyelse af NemID, hvis indholdet heraf ikke er i overensstemmelse med de faktiske forhold, at en borger omgående skal ændre sin adgangskode eller spærre NemID, hvis der opstår mistanke om, at adgangskoden er kompromitteret, og at en borger omgående skal ophøre med at anvende NemID, hvis borgeren opnår kendskab til, at Nets DanID A/S er blevet kompromitteret.

Det fremgår af certifikatpolitikken for OCES-medarbejdercertifikater punkt 6.2, at Nets DanID A/S ved aftale skal forpligte certifikatindehaveren, medarbejderen, til at opfylde en række betingelser, samt at certifikatindehaverens organisation, virksomheden, og procedurer understøtter opfyldelsen heraf. Betingelserne er fastsat som vilkår for NemID, som er de vilkår, som den enkelte medarbejder (certifikatindehaveren) skal acceptere i forbindelse med udstedelse af NemID til medarbejdere. Det forventes, at der i lighed med, hvad der følger af certifikatpolitikken for OCES-medarbejdercertifikater, blandt andet vil blive fastsat regler om, at medarbejdere skal give fyldestgørende og korrekte svar på alle anmodninger fra den udpegede udsteder (Nets DanID A/S), om information i ansøgningsprocessen, at en medarbejder alene må benytte NemID i henhold til certifikatpolitikkens bestemmelser, at en medarbejder skal tage rimelige forholdsregler for at beskytte de sikkerhedsmekanismer, der sikrer NemID mod kompromittering, ændring, tab og uautoriseret brug, at en medarbejder skal hemmeligholde adgangskoden, så andre ikke får kendskab til denne, at en medarbejder ved modtagelse af NemID skal sikre sig at indholdet heraf er i overensstemmelse med de faktiske forhold, at en medarbejder omgående skal anmode om spærring og eventuel fornyelse af NemID, hvis indholdet heraf ikke er i overensstemmelse med de faktiske forhold, at en medarbejder omgående skal ændre sin adgangskode eller spærre NemID, hvis der opstår mistanke om, at adgangskoden er kompromitteret, og at en medarbejder omgående skal ophøre med at anvende NemID, hvis medarbejderen opnår kendskab til, at Nets DanID A/S er blevet kompromitteret.

Herudover indgår den juridiske enhed (administratoren) aftale med Nets DanID A/S om at anvise medarbejdere, der skal have udstedt NemID til medarbejdere. Den juridiske enhed forpligter sig også til at instruere medarbejdere i korrekt anvendelse af NemID, herunder overholdelse af certifikatpolitikken for OCES-medarbejdercertifikater.

I medfør af bestemmelsen vil det ligeledes blive fastsat, at Nets DanID A/S skal sikre, at borgeren henholdsvis den juridiske enhed opfylder de betingelser, der fastsættes for at kunne få udstedt NemID.

Der vil samtidig kunne fastsættes regler om, at der kan gives afslag på at få udstedt NemID, hvis udsteder vurderer, at borgeren eller den juridiske enhed ikke opfylder en eller flere af de fastsatte betingelser. Det kan eksempelvis være, hvis der er tvivl om, hvorvidt borgeren eller medarbejderen kan administrere og anvende NemID korrekt eksempelvis af sproglige eller forståelsesmæssige årsager. Et andet eksempel er, hvis der er tvivl om validiteten af legitimationsdokumentationen. For virksomheder vil det være administrator, der indestår for, at de medarbejdere, der udpeges til at få NemID til medarbejdere, er identificeret korrekt i overensstemmelse med aftalen og reglerne herfor.

Der henvises i øvrigt til de almindelige bemærkninger afsnit 2.1.2. ovenfor.

Til § 2

Efter den foreslåede § 2 slås det fast i loven, at ministeren for offentlig innovation kan overlade opgaven med at træffe afgørelse om at udstede NemID med offentlig digital signatur til fysiske personer (NemID) til en juridisk enhed. Begrebet »juridisk enhed« skal forstås i overensstemmelse med anvendelsen af begrebet i lov om Det Centrale Virksomhedsregister, jf. de almindelige bemærkninger afsnit 2.1.2. ovenfor.

Ministeren for offentlig innovation kan udpege konkrete juridiske enheder til at varetage opgaven med som registreringsenhed at træffe afgørelser om udstedelse af NemID til fysiske personer, der anmoder om at få udstedt NemID med offentlig digital signatur til fysiske personer hos en registreringsenhed.

Det er hensigten, at ministeren udpeger, hvilke konkrete registreringsenheder der kan træffe afgørelse om at udstede NemID til borgere, der eksempelvis møder fysisk frem i registreringsenheden og anmoder om at få udstedt NemID. Grundlaget for registreringsenhederne forventes at lægge sig op ad indholdet i de konkrete aftaler herom, som gælder i dag.

Nets DanID A/S har på nuværende tidspunkt delegeret opgaven med at udstede NemID til borgere, der fysisk møder op, til en lang række kommuner på baggrund af bilaterale aftaler indgået med de enkelte kommuner. Opgaven varetages og administreres typisk af borgerservicecentrene i kommunerne, jf. de almindelige bemærkninger afsnit 2.1.1 ovenfor. Endvidere har også en række pengeinstitutter indgået aftale om at varetage opgaven som registreringsenhed. Det er hensigten, at ministeren ved udpegning af registreringsenheder sikrer, at indholdet i disse aftale i videst mulige omfang opretholdes eventuelt ved en henvisning til de allerede indgåede aftaler.

Registreringsenhederne er ansvarlige for identifikation og autentifikation af en kommende certifikatindehaver og for at udstede NemID til borgere. Det er derfor også registreringsenhederne, der påser og vurderer, om en fremmødt borger lever op til de fastsatte regler for at kunne få NemID, og det er registreringsenhederne, der træffer afgørelse om at give en borger afslag, hvis borgeren ikke lever op til de krav, der er fastsat for at kunne få NemID. Der er tale om en opgave, der i medfør af § 2 er delegeret fra ministeren for offentlig innovation til registreringsenhederne. Afgørelserne som registreringsenhederne træffer om udstedelse af NemID skal leve op til forvaltningsretten og de forvaltningsretlige principper, jf. den foreslåede § 3. Registreringsenhederne vil blandt andet skulle vejlede og vurdere, om borgeren forventes at forstå og løbende kunne leve op til de regler og vilkår, der er fastsat. Nets DanID A/S har ansvaret for hele udstedelsesprocessen, herunder validering af borgerens identitet, samt for de afgørelser, der træffes.

Der henvises i øvrigt til de almindelige bemærkninger afsnit 2.1.2. ovenfor.

Til 3

Det er almindeligt antaget, at delegation medfører, at den opgave, der delegeres til en anden, også er omfattet af de regler, der gælder, herunder forvaltningsloven, og skal overholde disse. For at undgå fortolkningstvivl fastsættes det direkte i loven, at Nets DanID A/S og registreringsenhederne er omfattet af forvaltningsloven i forbindelse med de afgørelser, der træffes om udstedelse af NemID, spærring, afslag på udstedelse og afslag på genåbning mv. Dette medfører blandt andet, at visse afgørelser skal ledsages af en begrundelse og en klagevejledning, at partshøringsreglerne i relevant omfang skal iagttages, og at borgere og virksomheder skal vejledes tilstrækkeligt om deres rettigheder mv. En afgørelse om at spærre et NemID træffes for at sikre mod misbrug og tilsvarende, hvorfor spærring kan foretages uden forudgående kontakt til den registrerede.

Nets DanID A/S og registreringsenhederne vil således ved anmodning om at få udstedt NemID blandt andet skulle vejlede borgeren om reglerne for at få udstedt NemID og særligt reglerne for løbende at kunne anvende NemID, herunder om konsekvenserne ved ikke at overholde disse, jf. forvaltningslovens § 7. Vejledningen kan i de konkrete tilfælde tillige omfatte, hvilke muligheder borgeren har for at blive betjent af den offentlige forvaltning uden et NemID, samt hvilke muligheder borgeren henholdsvis juridiske enheder har for på ny at anmode om at få udstedt NemID.

Til § 4

Den foreslåede § 4, stk. 1, fastslår, at en fysisk person har ret til at anmode om at få udstedt NemID med offentlig digital signatur til fysiske personer (NemID), hvis borgeren er fyldt 15 år og har et personnummer. Borgeren vil i den forbindelse skulle kunne legitimere sig fyldestgørende overfor udstederen henholdsvis registreringsenheden. En borger, der i øvrigt opfylder de regler og vilkår, der fastsættes i medfør af § 1, stk. 2, og som vurderes løbende at kunne overholde disse kan herefter få udstedt NemID.

Bestemmelsen omfatter NemID, som udstedes til fysiske personer. Fysiske personer er privatpersoner også betegnet som borgere. Også fysiske personer, der ikke er danske statsborgere, kan anmode om at få udstedt NemID. Eksempelvis vil udlændinge, der får et personnummer i forbindelse med, at de kommer til landet for at arbejde, kunne anmode om at få udstedt NemID. En borger med et administrativt personnummer kan alene få udstedt NemID ved personligt fremmøde hos en registreringsenhed.

Det forudsættes, at de regler, der fastsættes i medfør af § 1, stk. 2, indeholder betingelserne for at få udstedt NemID, samt regler, som løbende skal overholdes ved anvendelse af NemID. Det forudsættes tillige, at de regler, der fastsættes, følger de regler, der allerede i dag gælder i medfør af certifikatpolitikken for OCES-personcertifikater, og som er gengivet i vilkårene for NemID.

Borgere skal følge den procedure, der fastsættes, for at anmode om at få udstedt NemID.

Det er forventningen, at borgeren som hidtil vil kunne anmode om at få udstedt NemID online på hjemmesiden nemid.nu, hos en registreringsenhed i et pengeinstitut eller ved personligt fremmøde hos en registreringsenhed i en kommunes borgerservicecenter.

Det foreslås med formuleringen af § 4, stk. 2, at juridiske enheder har ret til at anmode om at få udstedt NemID til medarbejdere i juridiske enheder.

Begrebet »juridisk enhed« skal ligesom i § 2 forstås i overensstemmelse med anvendelsen af begrebet i lov om Det Centrale Virksomhedsregister, jf. lovbekendtgørelse nr. 653 af 15. juni 2006 med senere ændringer, hvoraf det fremgår af § 3, at en juridisk enhed kan være 1) en fysisk person i dennes egenskab af arbejdsgiver eller selvstændigt erhvervsdrivende, 2) en juridisk person eller filial af en udenlandsk juridisk person, 3) en statslig administrativ enhed, 4) en region, 5) en kommune eller 6) et kommunalt fællesskab. Det sikres samtidig, at loven anvender samme begreb, som anvendes i OCES-personcertifikatpolitikken. Der henvises til lovforslagets § 2.

En juridisk enhed skal således have et CVR-nummer og have indgået en aftale med Nets DanID A/S, hvor der udpeges en administrator til på vegne af den juridiske enhed at anvise personer med tilknytning til den juridiske enhed, der skal have udstedt NemID medarbejdersignatur.

Bestemmelsen omfatter NemID, som udstedes til medarbejdere i juridiske enheder. En virksomhed, der i øvrigt opfylder de regler, der fastsættes i medfør af § 1, stk. 2, kan herefter få udstedt NemID til sine medarbejdere.

Det forudsættes, at de regler, der fastsættes i medfør af § 1, stk. 2, indeholder betingelserne for at få udstedt NemID, samt regler, som løbende skal overholdes ved anvendelse af NemID. Det forudsættes tillige, at de regler, der fastsættes, følger de regler, der allerede i dag gælder i medfør af OCES-certifikatpolitikken for medarbejdercertifikater, og som er gengivet i aftale om udpegning af administrator henholdsvis vilkårene for NemID.

Juridiske enheder skal følge den procedure, der fastsættes, for at anmode om at få udstedt NemID.

Det er forventningen, at juridiske enheder som hidtil vil kunne anmode om at få udstedt NemID online på hjemmesiden medarbejdersignatur.dk. Det vil fortsat ikke være muligt for juridiske enheder at anmode om at få udstedt NemID medarbejdersignatur hos en registreringsenhed.

Der henvises i øvrigt til de almindelige bemærkninger afsnit 2.1.2. ovenfor.

Til § 5

Det foreslås med § 5, stk. 1, at fastslå, at klage over en afgørelse kan indbringes for Digitaliseringsstyrelsen.

Den afgørelse, der påklages, vil være truffet af den private udsteder eller af en registreringsenhed, der udsteder NemID med offentlig digital signatur til fysiske personer og til medarbejdere i juridiske enheder (NemID) i kommunerne eller i pengeinstitutterne. De afgørelser, der kan påklages, er afgørelser, der er truffet efter de regler, der vil blive udstedt i medfør af § 1, stk. 2.

Der kan eksempelvis være tale om klage over en afgørelse om afslag på udstedelse af NemID, afslag på genåbning af NemID, klage over en afgørelse om spærring af et NemID og lignende efter regler fastsat i medfør af § 1, stk. 2.

Digitaliseringsstyrelsen vil foretage en klagesagsbehandling på baggrund af sagens oplysninger, de fastsatte regler, og efter de regler, der følger af forvaltningsloven og de forvaltningsretlige principper mv.

Registreringsenhederne og udstederen (i dag Nets DanID A/S) skal, når de træffer afgørelse, sikre, at borgere og virksomheder får en klagevejledning om, at deres afgørelser kan indbringes for Digitaliseringsstyrelsen.

Registreringsenhederne og udstederen (i dag Nets DanID A/S) skal, hvis klagen indgives direkte til dem videresende klagen til Digitaliseringsstyrelsen med henblik på behandling af klagen.

Det foreslås med § 5, stk. 2, at det fastsættes direkte i loven, at Digitaliseringsstyrelsen kan kræve enhver oplysning af betydning for klagebehandlingen, af den private virksomhed, der er udpeget i medfør af § 1, stk. 1, og af registreringsenheder, jf. § 2.

Digitaliseringsstyrelsen kan i konkrete klagesager rette henvendelse til den relevante registreringsenhed eller Nets DanID A/S i forbindelse med behandling af klagen med henblik på at få oplyst sagen tilstrækkeligt mv. Digitaliseringsstyrelsen kan herunder kræve at få relevante oplysninger og dokumenter til brug for behandling af sagen.

Med den foreslåede bestemmelse i § 5, stk. 3, slås det fast, at Digitaliseringsstyrelsens afgørelser ikke kan indbringes for anden administrativ myndighed. Afgørelserne vil dog kunne indbringes for domstolene i medfør af grundlovens § 63.

Der henvises i øvrigt til de almindelige bemærkninger afsnit 2.1.2. ovenfor.

Til § 6

Det foreslås, at loven træder i kraft den 1. juli 2018.

Det er hensigten at ophæve loven i forbindelse med, at Nets DanID A/S' ret til at udstede NemID udløber.

Til § 7

Det foreslås, at loven gælder ikke for Grønland og Færøerne.

For Grønland er der tale om et sagsområde, der ikke er hjemtaget, hvorfor loven ikke skal gælde i Grønland, men loven vil helt eller delvist kunne sættes i kraft i Grønland ved kongelig anordning.

Den hidtidige aftalebaserede tilgang for udstedelse af NemID med offentlig digital signatur til fysiske personer (NemID) i Grønland baseret på OCES-personcertifikatpolitikken vil fortsat være gældende.

For Færøerne er der tale om et sagsområde, der ikke hører til fællesanliggender, som varetages af rigsmyndighederne. Sagsområdet anses derfor som ovegået til Færøerne, hvorfor loven ikke skal gælde på Færøerne.

Udstedelse af NemID til færinger baseret på OCES-personcertifikatpolitikken vil foregå på samme måde som i dag. Hvis en færing har et administrativt personnummer, kan NemID alene blive udstedt ved personligt fremmøde hos en registreringsenhed.